Skip to main content

Wilde 2FA aanzetten, maar kwam erachter dat dit alleen met een SMS mogelijk is, een techniek die niet zo veilig is als bv. met een authenticator app (Aegis etc.), of met een hardware authenticator als YubiKey…

Vraag me af waarom zo'n groot bedrijf als KPN die mogelijkheid van een authenticator niet biedt :thinking:

Gebruik vrijwel overal waar het kan 2FA, en daarvan is het grootste deel met een authenticator app.
En mocht men nu denken dat dit alleen bij grote bedrijven mogelijk is… Integendeel, de meesten zijn slechts een fractie in grootte van KPN :rolling_eyes:

En tja, KPN wil toch zo graag “meedoen in de vaart der volkeren” en veiligheid voorop stellen… dan moeten ze toch eerst de mogelijkheid gaan bieden om 2FA op een andere manier aan te  bieden, desnoods als keuze (SMS of authenticator)!

 

*Admin: eigen topic voor vraag gemaakt corigineel topic]

De meest gebruikte authenticator apps bieden de mogelijkheid om een backup te maken. 

Ja. Maar dat wist ik toen nog niet en ik had er totaal geen erg in toen ik m'n foon naar fabrieksinstellingen terug zette.

Maakt verder ook niet uit. Ik zal vast niet de enige klant zijn die geen backup heeft om wat voor reden dan ook. Wat moet er gebeuren dan? Klant belt naar KPN met "ik kan niet meer inloggen" en dan? Wat doet KPN dan?


De meest gebruikte authenticator apps bieden de mogelijkheid om een backup te maken. 

Ja. Maar dat wist ik toen nog niet en ik had er totaal geen erg in toen ik m'n foon naar fabrieksinstellingen terug zette.

Maakt verder ook niet uit. Ik zal vast niet de enige klant zijn die geen backup heeft om wat voor reden dan ook. Wat moet er gebeuren dan? Klant belt naar KPN met "ik kan niet meer inloggen" en dan? Wat doet KPN dan?

Als het goed is verifieren dat jij het bent en dan eventueel 2FA resetten. 

Het gaat er om dat iemand die jouw gebruikersnaam en wachtwoord op illegale wijze heeft verkregen nog steeds niet kan inloggen.


Wat doet KPN dan?

Als het goed is verifieren dat jij het bent

Dat is bij SIM swap ook zo. Dat lukt ook alleen als de aanvaller alle gegevens paraat heeft en de KPN medewerker aan de telefoon er van weet te overtuigen dat hij of zij de werkelijke abonnementhouder is. 

Wat voor meerwaarde bied een authenticator app dan boven SMS controle?

Het gaat er om dat iemand die jouw gebruikersnaam en wachtwoord op illegale wijze heeft verkregen nog steeds niet kan inloggen.

Dat lukt bij FA2 via SMS ook prima. 


Wat voor meerwaarde bied een authenticator app dan boven SMS controle?

Het gaat er om dat iemand die jouw gebruikersnaam en wachtwoord op illegale wijze heeft verkregen nog steeds niet kan inloggen.

Dat lukt bij FA2 via SMS ook prima. 

Het komt helaas regelmatig voor dat smsjes vertraagd aankomen en dan heeft het 2FA via een authenticator app wel degelijk zin. Daarnaast is 2FA via een authenticator app eenvoudiger dan via SMS.

 

Ik vind het overigens erg apart dat ruim twee jaar na de aankondiging door @Erwin van KPN er nog altijd geen 2FA via authenticator apps mogelijk is. Ik hoop dat we hier van KPN een uitleg voor gaan krijgen.


Wat doet KPN dan?

Als het goed is verifieren dat jij het bent

Dat is bij SIM swap ook zo. Dat lukt ook alleen als de aanvaller alle gegevens paraat heeft en de KPN medewerker aan de telefoon er van weet te overtuigen dat hij of zij de werkelijke abonnementhouder is. 

Wat voor meerwaarde bied een authenticator app dan boven SMS controle?

Het gaat er om dat iemand die jouw gebruikersnaam en wachtwoord op illegale wijze heeft verkregen nog steeds niet kan inloggen.

Dat lukt bij FA2 via SMS ook prima. 

Maar 2FA via SMS kan gehackt worden. Ze kunnen de SMS die naar jou gestuurd wordt omleiden. Daarom is een app of een hardware key beter. Want dan is er geen extra data die verstuurd moet worden om de code te genereren. 


Maar 2FA via SMS kan gehackt worden. Ze kunnen de SMS die naar jou gestuurd wordt omleiden.

Nee. Een SMS kan helemaal niet zomaar "gehackt" worden. Dit moet dan doormiddel van SIM swap. Om dit te bereiken moet een medewerker van een provider het telefoonnummer koppelen aan een andere simkaart. Dit doet een medewerker van een provider natuurlijk niet zomaar. 

De aanvaller moet de medewerker er van overtuigen dat hij of zij de werkelijke abonnementhouder is. Hiervoor moet hij/zij dus heel veel gegevens van het slachtoffer weten.

Hoe vaak gebeurt/lukt dit nu? Leest u er wel eens over? Ik nooit.


Het komt helaas regelmatig voor dat smsjes vertraagd aankomen …

Nog nooit meegemaakt. Als dit gebeurt is dat gewoon een technisch probleem wat opgelost moet wirden.

... en dan heeft het 2FA via een authenticator app wel degelijk zin. Daarnaast is 2FA via een authenticator app eenvoudiger dan via SMS.

Wat is er eenvoudiger aan? Ik vind een SMS juist veel eenvoudiger. Geen moeilijk gedoe met zo'n app. 1 keer je nummer doorgeven en klaar. Blijft ook gewoon werken na reset naar fabrieksinstellingen of naar aanschaf van een ander toestel zonder extra handelingen. 


Maar 2FA via SMS kan gehackt worden. Ze kunnen de SMS die naar jou gestuurd wordt omleiden.

Nee. Een SMS kan helemaal niet zomaar "gehackt" worden. Dit moet dan doormiddel van SIM swap. Om dit te bereiken moet een medewerker van een provider het telefoonnummer koppelen aan een andere simkaart. Dit doet een medewerker van een provider natuurlijk niet zomaar. 

De aanvaller moet de medewerker er van overtuigen dat hij of zij de werkelijke abonnementhouder is. Hiervoor moet hij/zij dus heel veel gegevens van het slachtoffer weten.

Hoe vaak gebeurt/lukt dit nu? Leest u er wel eens over? Ik nooit.

Daar is geen sim swap voor nodig hoor. Zie: 

 


Reageer